Welche Benutzerreche?

Hallo,

Vielen Dank, dass Sie uns in dieser Angelegenheit kontaktiert haben und uns so ein tolles Feedback gegeben haben.

Nach den Recherchen, die ich in dieser Angelegenheit durchgeführt habe, sollte die von Ihnen gewählte Lösung funktionieren. Könnten Sie jedoch bitte in diesem Thread nachsehen, ob einer der anderen Vorschläge für Sie funktioniert https://social.technet.microsoft.com/Forums/ie/en-US/832a70f9-f829-4bb4-b6d6-b2409f17b23f/rdp-remote-desktop-to-windows-10-without-passwords-not-possible-anymore-bug-or-feature?forum=winserverTS ?

Mit freundlichen Grüßen,

Hi James,

vielen Dank, das hat mir geholfen. Ich kann mich nun aus der Domänenumgebung per RDP auf den Server schalten.

Ist es auch möglich, sich von außerhalb über eine dynamische IP über den Router zum Server oder Domänenbenutzer aufzuschalten?

Ich habe bereits bei onip.com eine Hostnamen zu meiner IP im Router erstellt und diese dann im Speedport Smart 4 Plus freigegeben. Zudem habe ich einen beliebigen Port im Router freigegeben und den Zugang mit einem Portchekcer https://portchecker.co/checking erfolgreich getestet.

Wie könnte ich mich mit dem RDM extern nun aufschalten?

Hallo,

vielen Dank für Ihre Antwort!

Ist dies etwas, das Sie bereits mit MSTSC.exe außerhalb von RDM tun können?

Mit freundlichen Grüßen,

Vielen Dank für die richtige Frage!

Vorab, ich habe mich nun für eine VPN von WireGuard entschieden. Diese habe ich im RDM als .exe eingebunden. Es schien mir im Laufe der letzten Stunde die sichere Wahl zu sein.

Zu deiner Frage; nein, das Problem bleibt aber vermutlich das gleiche.

Die VPN Verbindung steht und ich kann extern über den Browser den Server und Router erreichen, jedoch kann ich mich mit keinem vorhandenen Domänenbenutzer anmelden. Ich schätze es liegt daran, dass ich als Client nicht der Domänengruppe angehöre und es letztlich den Benutzerkonteneinschränkung zugeschrieben werden kann.

Leider ist mir nicht klar, ob ich an dieser Stelle den externen Client der Domäne hinzufügen muss, oder auf dem Server die lokalen Benutzer freigeben soll.
Auf dem Server unter Systemsteuerung\System und Sicherheit\System \ Remoteeinstellung --> Reiter Remote --> Benuter Auswahl lassen sich keine Lokalen Benutzer/Admins hinzufügen.

In den Active Directory-Benuter und Computer Verwaltung unter Builtin gibt es den Administrator (nicht der Domänen Administrator) Ich war der Meinung mit den könnte ich über die Domäne hinaus auf den Server zugreifen!?

Kann ich irgendwie als nicht Domänenbenutzer mich in eine Domänenumgebung per RDM einklinken?

Hallo,

das ist dann eher ein Thema der internen Infrastruktur, das zuvor von dir gelöst werden muss. Sobald du einen Benutzer hast, der sich per RDP auf den Server verbinden kann, kann das auch im RDM abgebildet werden.

PS: Gibst du den Benutzer mit Domäne\Benutzername an oder nur Benutzername?

LG,
Min

Danke für dein Beitrag Min.

Ich ging davon aus, ich könne die Authentifizierung via Kerberos erreichen, indem ich die Anmeldung im Format Benutzername@Domäne (Benutzerprinzipalnamen) und Hostname versuche. Der Server hat zwar einen Hostnamen, diesen kann ich jedoch (im Gegensatz zu der IP Adresse) außerhalb der Active Directory nicht anpingen, obwohl er innerhalb der Domäne verfügbar ist. Den Host erreiche ich also nur per IP Adresse. Der Grund erschließt sich mir nicht.

Domäne\Benutzername habe ich aber auch versucht, ohne Erfolg. Bzw. nur über den Benutzerprinzipalnamen erhalte ich die Meldung, dass der Zugang durch Sicherheitseinstellungen am Server verhindert wird.

Wenn es tatsächlich möglich sein sollte via Hostnamen den Zugang zu erzwingen, müsste ich herausfinden, warum dieser nicht verfügbar ist.

Ich bin aber gern für neue Ansätze empfänglich.

Schöne Festtage wünsche ich!

Vielen Dank nochmal für die Zeit,

das Problem konnte ausfindig gemacht werden. Der Windows Server 2019 hat offenbar den Administrator und die anderen User in Protected Users, in die Sicher­heits­gruppe Geschützte Benutzer ("Protec­ted Users") eingeordnet. Die Mitglied­schaft in dieser Gruppe blockiert auto­matisch Legacy-Techno­logien und Funk­tionen, die Angreifern den Dieb­stahl von Iden­titäten erleichtern.

Das Problem mit Hostnamen konnte ich dagegen nicht klären.

Das Thema kann somit geschlossen werden.

Hallo,

Wir freuen uns, dass Sie das Problem gefunden haben. Die geschützten Benutzer würden dieses Problem tatsächlich verursachen.

Frohe Festtage!

Mit freundlichen Grüßen,